A C U E N TA S C O N L A I N F O R M T I C A

Deber aceptarse que el complejo legisladores/reguladores/ supervisores USA ha reccionado con significativa rapidez ante el evento Enron et alii, ya que alumbr la Sarbanes Oxley Act en 2002, potenci la SEC (Securities and Exchange Commission), cre la PCAOB (Public Company Accounting Oversight Board), y aceler la publicacin del COSO II, facilitando un marco terico-prctico ante la avalancha normativa. Tambin ha tenido en cuenta Basilea II (y sus pilares), muy importante para el macrosector bancario y financiero, as como otras aportaciones de rea anglosajona. En UE y en Espaa, la migracin normativa de USA es lenta y asinttica; por ejemplo, se espera para 2006 el POB (Public Oversight Board) paneuropeo, que coordinar en dos direcciones, con USA/PCAOB (Public Company Accounting Oversight Board) y con los 25 POB nacionales, por ahora. A ello se suma la actual movida de I+D+i, la productividad, la RSC (Responsabilidad Social Corporativa), los Cdigos de Buenas Prcticas de Gobierno Corporativo Olivencia y Aldama, y el prximo Cdigo Conthe impulsado por la CNMV, teniendo en cuenta, el Informe Winter UE/2003. En fin, que todo llegar; eso s, con arranques de caballo y paradas de burro. Para rematar esta entrega, quizs convenga evidenciar dos textos convenientemente entrecomillados, a fin de que algunos profesionales afectados por el anlisis y la gestin de los riesgos se reencuentren con la pura verdad. As me pareci a m al leer que El riesgo corresponde al futuro, que es inherentemente incierto. La gestin de riesgos corporativos no puede facilitar una seguridad absoluta, algo que por conocido no es menor cierto. La segunda cita es todava ms balsmica, al indicar que La primera limitacin recuerda que nadie puede predecir el futuro con certeza. La segunda reconoce que ciertos eventos estn sencillamente fuera del control de la direccin. La tercera tiene que ver con el hecho de que ningn proceso har siempre todo aquello para lo que ha sido diseado. En otras palabras, que la seguridad TIC tiene su ptimo si es razonable. Claro est que lo difcil es ir midiendo lo razonable. n

COSO II, veinte aos despus

Jos de la Pea Snchez
Las olas procedentes del tsunami Treadway Commission, afortunadamente no cesan. Recuerdo que su denominacin oficial en USA es National Commission on Fraudulent Financial Reporting, que inici su marcha en 1985 y emiti su informe en 1987, entregando el testigo a su Committee of Sponsoring Organizations, que public en 1992 el famoso Informe COSO sobre Control Interno-Marco Integrado, que desarroll nuevos conceptos de control interno, traducido en 1997 para Espaa. Con algn retraso respecto a la saga Enron, reanud su funcionamiento el precitado Comit y en 2004 apareci otro informe, el llamado COSO II sobre Gestin de Riesgos Corporativos-Marco Integrado que de hecho comprende el COSO I cuya versin espaola, utilizada como fuente en esta entrega, ha sido editada este ao por PricewaterhouseCoopers, constituye una gran aportacin a la cultura de la seguridad TIC desde mi personal punto de vista, dicho sea sin olvidar a otros grupos de inters, tanto pblicos como privados, que se citan reiteradamente en el texto. Por comparar, se observa que la versin espaola del COSO II se ha acelerado a la del COSO I de USA 2004 a 2005 respecto a USA 1992 a 1997, lo que motiva felicitacin. La versin escrita en espaol del COSO II tiene 151 pginas y 420 la del COSO I, detalle que dice mucho y bueno, puesto que denota una sensibilidad hacia las limitaciones de tiempo, casi ostentreas, de los lectores de estatus elevado de determinados sectores. En mi opinin es importante resear que la idea fuerza que alienta el COSO II es una especie de tratado de ciencia actuarial + Seguridad TIC + Cdigo de Buenas Prcticas de Gobierno Corporativo, dicho sea en el mejor sentido. Esto queda reflejado en algunos prrafos: ... La gestin de los riesgos corporativos es que las entidades existen con el fin ltimo de generar valor para sus grupos de inters pero La bsqueda de equilibrio entre intereses, a menudo contrarios, puede resultar complicada y frustrante. Grupo de inters se define como un Conjunto de personas fsicas o jurdicas que colaboran con una entidad o estn afectadas por ella, tales como accionistas, comunidad en que opera,.... Casi, casi, llegamos a la denominada responsabilidad social corporativa (RSC para los amigos). entidad est dispuesta a asumir para realizar su misin (o visin). Riesgo residual: el riesgo remanente despus de que la direccin haya llevado a cabo una accin para modificar la probabilidad o impacto a un riesgo. Tolerancia al riesgo: la variacin aceptable en la consecucin de un objetivo. Efectivamente, el COSO II demuestra una sutil sensibilidad hacia la seguridad en forma de preocupacin por los sistemas de informacin, otras veces como sistemas informticos o

La idea que alienta el COSO II es una especie de tratado de ciencia actuarial + Seguridad TIC + Cdigo de Buenas Prcticas de Gobierno Corporativo.
El texto es comprensivo de los habituales ndice, Prlogo e Introduccin, y por supuesto, la parte expositiva, que contiene el Resumen Ejecutivo, el Marco con doce captulos cada uno con un Resumen inicial y los siete Anexos, que incluyen un Glosario; indudablemente permite, tanto la lectura ntegra y sistemtica como la selectiva. Por concretar: el COSO II se presenta grficamente en formato de matriz tridimensional, que relaciona: Las categoras de objetivos: Estrategia Operaciones Informacin Cumplimiento. La entidad y sus unidades. Los componentes: Ambiente interno Establecimiento de objetivos Identificacin de eventos Evaluacin de riesgos Respuesta a los riesgos Actividades de control Informacin y comunicacin Supervisin. Pero antes de seguir, y por su inters para la seguridad TIC, volvamos a echar mano de definiciones, en este caso algunas reseadas en el Glosario del Informe; las siguientes: Riesgo inherente: el riesgo a que se somete una entidad en ausencia de acciones de la direccin para alterar o reducir su probabilidad de ocurrencia e impacto. Riesgo aceptado: la cuanta en sentido amplio del riesgo, que una tecnologa de la informacin o, escuetamente, tecnologa, considerando su importancia en profundidad. Incluso concreta que el ... Concepto de seguridad razonable refleja la idea de que la incertidumbre y el riesgo estn relacionados con el futuro, que nadie puede predecir con precisin, y no implica que la gestin de riesgos corporativos fracase con mucha frecuencia. Continuando el anlisis del COSO II, merece completar los captulos de MARCO, adems de los componentes; me refiero a la Definicin y a los finales: Roles y responsabilidad, ya que resea, adems de los habituales Consejo de Administracin, Direccin, Director, Directores Financieros y Auditores Externos, tambin a Auditores Internos, Otro personal de la Entidad, Terceros, Legisladores y Reguladores, Terceros en Interaccin con la Entidad, Proveedores de Servicios Externos, Analistas Financieros, Agencias Certificadoras de Solvencia Financiera y Medios de Comunicacin; as como los captulos sobre Limitaciones de gestin de riesgos corporativos y el referente a Qu hacer, que personaliza algunos roles y responsabilidades, llegando incluso a las Asociaciones Profesionales y a los Educadores, pero insistiendo en los miembros del Consejo de Administracin, Alta Direccin, Reguladores y Otro personal de la Entidad.

JOS DE LA PEA SNCHEZ

Auditor de Cuentas Censor Jurado y Licenciado en Informtica info@codasic.com

68

SEPTIEMBRE 2005 / N66 /

SiC